個資法風暴來襲

新版個人資料保護法已經三讀通過，未來全臺灣123萬家企業、2,300萬民眾都要遵守新法的規範。從時程推算，企業只剩1年多的準備時間，來因應個資法的衝擊。在你著手因應之前，必須先了解這些與企業營運迫切相關的個資法議題。



今年4月27日立法院三讀通過了《個人資料保護法》（簡稱個資法)，這個法案衝擊之大，遍及了臺灣123萬家企業和2,300萬民眾，無一倖免。

不論是一個人或一群人、中小企業或跨國企業、任何工作、任何活動，凡是需要蒐集、處理或利用到個人資訊的行為，包括紙本記錄和電腦資訊、甚至是隨手寫在便條紙上的聯絡資訊，若不留意，都有可能牴觸了個人資料保護法的規範。

對企業而言，個資法不僅會影響到未來企業蒐集顧客資料、利用個資行銷的作業方式，連企業現有的顧客資料都將受到影響，甚至在最嚴重的情況下，企業辛苦累積數十年的顧客名單將無法使用，企業可能面臨營運停擺的危機。

在新版個資法的規範下，一旦企業違法使用個資，顧客還能提出團體訴訟來求償，最高求償金額高達2億元。若因違法使用而對當事人產生損害時，老闆還得面臨五年以下的有期徒刑。這些都是個資法施行以後，企業立刻要面對的問題。

尤其是以往不受《電腦處理個人資料保護法》規範的企業，他們遭受的衝擊更大，例如，製造業者若無法符合新法規的要求，就不能使用往來廠商的聯絡資訊，這樣進一步就會影響到供應鏈系統的運作，生產線被迫停擺也是有可能的。

目前三讀通過的個資法只有基本條文，未來法務部還會擬定更詳細的施行細則，作為實際執行的參考依據。

這些細則更是直接影響企業處理個資的每一個決策，企業流程中有哪些個資需要保護？企業已經擁有的顧客資料要如何處理才能合法使用？如何降低告知當事人的費用？如何因應顧客要求刪除個資？等問題，甚至是法案何時實施，施行細則何時出爐，企業到底剩下多少時間可以準備？這些都是企業目前最關心的問題。

為此，我們特別採訪承辦個資法修法業務，也是推動施行細則草擬工作的法務部法律事務司科長黃荷婷，進一步了解個資法的實施時程和條文內容。

2012年個資法新動態

個資法已於2012年10月1日實施

個資法施行細則修正條文全文

iThome 2012年 個資法大調查-因應現況、經費、作法

員工電腦個資檔案大清查：徹底比較兩款PC個資盤點工具

戰勝個資法關鍵作法：成立專責團隊統一事權的個資因應小組

戰勝個資法關鍵作法：個資盤點

企業案例篇

遊戲橘子：顧客分級管理，非必要個資減量蒐集

鼎新電腦：提高員工個資保護意識是關鍵

合作金庫：2階段導BS 10012，推廣個資銷毀觀念

醫療業：委外契約納入個資防護，聘用住院律師強化法規意識

彰化銀行：個資分級控管，管理程序納入稽核制度

元富證券：建立內部個資制度，成立常態性管理組織

面對個資法衝擊，你必須先了解的12個關鍵問題
施行日期 個資法何時正式實施？

準備時間 最快1年後面臨新法衝擊

規範對象 除了個人與企業，團體也受約束

個資定義 企業需要保護哪些個資？

最低管轄數量 只要擁有1筆個資就得遵循新法

個人可行使權利 企業為滿足個人請求，勢必得改變流程

告知義務 個資蒐集或利用前須告知當事人

利用限制 利用個資須符合特定目的

有效同意 書面同意須用紙本，不能用電子文件

現有顧客資料 不是向顧客蒐集的個資，沒告知前無法使用

罰則 求償金額最高2億元，企業主最多5年刑責

企業舉證責任 企業必須自行舉證沒有違反個資法

新版個資法大解密
新版個資法大解密
共有29個問與答，幫助馬上了解新版個資法個資法何時正式實施？

就黃荷婷的估計，在未來2周內，總統將正式公布新法案，而法務部預估以6～8個月的時間訂定施行細則的草案，待草案呈報行政院後，行政院審核時間約需2～3個月，這些加起來，幾乎需要1年時間才能完成。

目前法案已三讀通過，法務部立即展開擬定施行細則的相關作業。黃荷婷指出，施行細則將分成兩個部分進行。

第一部分，法務部預定在6月時舉辦，到臺灣北、中、南、東部舉辦公聽會，徵詢各界對法案中「不確定法律概念」的意見，這些概念包括了公共利益、公開場所、社交活動、家庭活動等。

法務部會依據公聽會的意見，來訂定不確定法律概念的相關條文，再邀請專家學者組成工作小組，確認這些條文不會違反法律上應保障的利益，也不會侵犯司法權。

另一方面，法務部還會成立施行細則修法小組，由各部會派員參加，共同來訂定執行面的施行細則。遇到與地方事務有關的條文時，也會邀請相關的地方政府參加會議。施行細則還會包括特定目的清單和資料類型供企業選用。


看大圖最快1年後面臨新法衝擊

法務部法律事務司科長黃荷婷表示：「希望在一年內完成個資法施行細則的作業流程，再由行政院決定施行日期。」

透過多管齊下的作法，黃荷婷表示：「希望在總統公布後的1年內，完成個資法施行細則的作業流程，再由行政院決定施行日期。」

倘若行政院比照《電腦處理個人資料保護法》施行細則的作法，在發布日時正式實施，以目前法務部的作業時程來看，行政院最快可以在1年後實施個資法，換句話說，企業最快一年後將面臨個資法的衝擊，因應時間從現在開始倒數大約只剩12個月。除了個人與企業，團體也受約束

更重要的是，新版個資法適用對象擴及各產業，不管是誰，1年後都需要面對個資法的衝擊。除了法人和自然人受個資法約束外，甚至包括各式各樣的團體都需要遵循個資法。黃荷婷解釋：「一般只要3人以上就可以稱為團體，或者是設有代表人的團體也是。」所以，舉凡任何個人、任何企業、任何形式規模的團體，哪怕是三五好友組成的私人讀書會，都在法條管轄範圍中。

企業需要保護哪些個資？

新版個資法規範了企業必須保護的個人資料類型，包括了個人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動，以及其他可以直接或間接識別出個人的資料都屬於個資法的保護範圍。企業蒐集、處理和利用這些個資時，必須特別遵循個資法的規範。

不過，並非所有個人資料都可以識別出所對應的個人，這類無法識別的個資，就不屬於個資法的保護範圍。黃荷婷舉例說明，比如透過網路暱稱或網路代號不一定能識別出背後所代表的個人，或是部分數字模糊的身分證號也無法識別出對應的當事人。

她進一步解釋：「如果有些類型的個人資料，一般人無法用一般方式查出對方是誰，這類資料就可以歸入無法識別的資料範圍，不受個資法的管轄。但是，如何判斷個人資料是否可以識別，未來將會由主管機關認定。在施行細則中也會盡量訂定出直接或間接識別的分辨標準。」只要擁有1筆個資就得遵循新法

特別注意的是，臺灣個資法沒有最低資料筆數的限制，不像日本個資法只能管轄5千筆以上的資料。

未來法案實施後，臺灣企業只要擁有1筆以上的顧客資料，企業就必須符合個資法的規範。

而且也不只是儲存在企業伺服器中的數位資料需要守法，連書寫在任何紙本文件上的個人資料，不論形式或載體，企業所擁有的任何1筆個資都必須遵循個資法的規範。企業為滿足個人請求，勢必得改變流程

在個資法中也明定了個人可以對自身資料可以行使的權利，包括了查詢、更正、要求停止蒐集、處理或利用，甚至是個人可以要求企業刪除等。企業為了滿足個人提出的請求，勢必得改變現有的個人資料作業流程。例如過去企業為了充分運用顧客資料，往往會盡可能保存，不會輕易刪除。

現在，企業必須回應顧客的請求，甚至得刪除資料庫中的顧客記錄。企業為了日後舉證確實執行顧客的請求，除了要記錄顧客提出的個資請求外，還得記錄執行請求的過程，各種與個資相關的作業流程都會受到影響，必須重新調整作法。

不過，企業若是依據其他法律規定而蒐集或使用個資，例如財務資料依法必須保存7年，企業就有權拒絕使用者的刪除要求。「若有其他法律明文規定者，企業運用個資時，可不受個資法的限制。」黃荷婷說。個資蒐集或利用前須告知當事人

在使用行為的規範上，個資法從蒐集、處理和利用三大面向來要求個資法的合理使用範圍。

當企業直接向顧客蒐集個人資料時，除了法定例外情況外，都必須盡到告知義務，企業必告知當事人，包括了蒐集目的、企業名稱、資料類別、資料利用期間、地區、方式、當事人權利，以及當事人不提供個資時，對其權益的影響等。

如果企業委託第三方機構向顧客蒐集個資，委託機構所作所為視同企業，所以，企業利用這些委託機構蒐集的個資之前，也必須告知每一位當事人。

現今不少企業擁有的個人資料動輒數十萬、數百萬筆，若每一筆資料都需要告知當事人，多數企業擔心未來必須負擔龐大的告知費用。黃荷婷表示，法條中並未限制企業採取的告知方式。企業可以透過各種方式告知，電子郵件、簡訊、電話等方式，而且告知不需要對方回應，只要有記錄能事後舉證，證明企業確實有告知即可。

除了告知方式不限外，「企業若曾對這些現有資料庫的顧客行銷，就不符合個資法第20條規定的首次行銷情況，企業不用再提供拒絕行銷的方式給顧客。」她補充。利用個資須符合特定目的

但是，黃荷婷也提醒，若是企業利用個資的目的，已經和當時蒐集的目的不同時，企業就必須符合蒐集要件的規定。除了不受限的情況下，個資法第5條規定，企業只能在特定目的範圍內，才能蒐集和使用個人資料。

黃荷婷指出：「特定目的是個資法限制蒐集、限制利用的重要機制，也是主管機關監督管理的制度。」

目前在《電腦處理個人資料保護法》中訂定了101項特定目的，黃荷婷表示，新法將由各產業主管機關和所屬產業共同提出需要的特定目的項目。再由法務部和主管機關共同公告。「最後訂定的特定目的數量不限，原則是讓每一個目的明確和清楚。企業可以同時告知多個目的，但不是全部的目的。」


▲▼企業蒐集個資時的目的必須符合「特定目的」的內容，就像是過去的《電腦處理個人資料保護法》施行細則訂定了101 項特定目的，法務部將修訂這些項目，再彙整主管機關建議項目，在個資法施行細則中詳列。
書面同意須用紙本，不能用電子文件

除了符合特定目的以外，企業蒐集或處理個資還要符合個資法第19條的蒐集要件。

例如其中一個要件是企業必須取得顧客的書面同意，黃荷婷解釋：「法條中的書面同意是嚴格的紙本書面同意書的意思。不能使用電子文件或透過電子簽章的同意書，因為電子同意只符合同意的意思，但不是書面同意。」

若不易取得書面同意，黃荷婷建議企業可以使用另外一項蒐集要件，也就是「契約或類似契約的關係」的要件。「這項要件不限形式，只要符合契約的法定規範，透過網頁同意按鈕的使用者條款也可以成立。」她說。

不過，企業從「一般可得來源，例如網際網路」蒐集來的個人資料，因為無法查證資料是否合法，個資法同樣將這類型為視為合法蒐集，但「企業若後來發現這些資料不合法，或者使用者要求企業禁用時，企業就必須刪除或停止使用。」黃荷婷說：「施行細則中會定義一般可得來源。」

取得個人資料後，黃荷婷指出，只要企業利用資料的目的和當初蒐集資料的目的相同，企業就能在當初告知的特定目的範圍中利用。

如果蒐集目的和使用目的不同時，企業必須重新取得當事人的書面同意，「即使是同一家公司裡的不同單位，只要目的不同，企業都要重新取得書面同意，除非符合其他例外條件，例如另有法律明文規定。」她說。

不過，對於個人自行公開的個資，或是其他合法公開的個人資料，企業就可以自行運用，不需要取得書面同意，也不用與當事人建立契約關係。但是，黃荷婷補充：「若是第三方公開的個人資料，企業必須確認這些公開資料的合法性後才能利用。」

企業蒐集了個人資料後，如果是利用這些資料對新顧客進行第一次行銷時，還得提供顧客有拒絕行銷的方式。「即使已取得當事人同意，首次行銷時要提供拒絕行銷的機會，這是企業應盡的義務。」黃荷婷說。不是向顧客蒐集的個資，沒告知前無法使用

個資法訂定了許多企業未來必須遵循的規定，但其中一條特別不同，個資法第54條特別溯及過往，規範了企業在法規實施前擁有的個人資料。企業如果是向當事人取得個資，而且使用上沒有超出當初告知的目的，就不用依據54條規定再次通知當事人。

但企業若不是直接向當事人蒐集的個人資料，例如透過委託機構取得，企業必須在法案實施一年內告知當事人，在沒有告知當事人前，企業無法使用這些資料。

在個資法中也律定了企業其他告知義務，例如企業有維護個人資料正確性的義務，若資料有錯，企業必須告知曾經提供資料的對象，要求對方更新，例如子公司必須告知母公司資料有誤必須更新。若發生資料外洩事件，企業也要主動告知當事人。求償金額最高2億元，企業主最多5年刑責

如果企業外洩個資，導致顧客遭受損害時，個資法也提供了權益受損顧客可以透過團體訴訟向企業求償。若無法估算損害金額時，每人每件可求償500～20,000元，相同原因造成的事件總求償金額最高2億元。

蒙受損失的當事人若要進一步向違反個資法的企業求償，必須在違規事件發生後5年內向企業提出求償，而且當事人得知違規事件的消息後，必須在2年內提出求償，否則就會失去求償的權力。

企業若因違反個資造成他人損失時，相關人員也會面臨2年以下的有期徒刑、拘役或併科20萬元以下罰金。若是企業為了營利而違反個資法，相關人員刑期還會加重為5年以下有期徒刑、拘役或併科1百萬元罰金。
當事人也可以向各行業主管機關投訴企業違反個資法，主管機關會進一步派人稽查企業法規遵循的情形。若發現企業有違反個資法，限期改善無效後，主管機關會對企業處以行政罰鍰，依違法罰款從2萬～50萬元不等。

若企業老闆不能證明自己盡力防止違法事情發生，也要接受同一額度的行政罰鍰。換句話說，企業被罰多少錢，老闆也會被罰多少錢。企業必須自行舉證沒有違反個資法

在新版個資法中，企業必須證明自己確實符合法規要求。當企業進行各項遵循個資法的行動時，不論是各種告知義務、爭取當事人同意或回應個人請求等行為，都必須記錄，以作為未來事後舉證之用。

黃荷婷表示：「個資法要求企業必須舉證說明自己沒有過失或故意違反法律。這可以讓企業更加重視隱私權和個人資料的保護。」

不過，在個資法大幅增加企業保護個資的義務以外，政府也同步規畫了協助企業的配套措施。針對個資法要求企業舉證的要求，經濟部商業司已經規畫了一個隱私權標章制度。

這套隱私權標章制度提供了一套驗證機制，可以用來檢驗企業是否符合個資法的隱私權要求，符合者發放合格標章，而且驗證機構還會定期複查企業是否持續執行。

驗證機構由各產業工會擔任，商業司則會另外訂定驗證機構的資格。黃荷婷說：「隱私權標章可以作為企業非故意或過失違反的舉證之一。」

新通過的個資法雖然只有56條，但是規範了所有人處理個人資料的方式，面對如此龐大的管轄範圍，黃荷婷坦言，個資法很難做到鉅細靡遺的要求，法務部會盡可能地透過施行細則完善各項個資規範。

若實行細則還有不足，黃荷婷說：「考慮在施行細則中，授與各主管機關可以透過行政命令補充規範的權限，一來主管機關最了解產業實況，另一方面也能讓法規快速因應各種新科技衍生的個資問題。」

未來，個資保護議題勢必成為企業必須長期關注的焦點，不但要了解個資法法條和施行細則，還需要隨時掌握主管機關對於個資保護的最新要求。

企業必知的個資法重點

個人資料保護法規範對象包括了公務機關、自然人、法人和其他團體。其中只有部分條文與企業有關，我們從這些條文中彙整出14項企業必知的個資法重點，這些都是企業因應個資法時必須了解的法條內容。 規範行為 ● 蒐集、處理及利用個資。 個資定義 ● 包括個人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動，以及其他可以直接或間接識別出個人的資料，不論紙本或數位形式，都屬於個資法的保護範圍。 個人權利 ● 個人可向企業請求查詢、閱覽、提供複製副本、更正或補充、停止蒐集、停止處理或利用、請求刪除。個人請求後，企業需於時限內回覆。 規範對象 ● 公務機關、自然人、企業法人、其他團體（三人以上即可視為團體）。代理蒐集機關則視同委託者。 主管機關 ● 由目的事業主管機關管轄，而非事件發生地主管機關。多個主管機關或管轄者不明則透過協調聯繫機制決定。 告知責任 ● 蒐集個資時應向當事人告知企業名稱、蒐集目的、資料類別、當事人權利、利用時間、地區、對象與方式、不告知的影響等。 ● 使用目的改變時，企業應告知當事人。 ● 非向當事人蒐集的現有顧客資料庫，必須在法案施行1年內告知。 ● 個資異動後，應告知提供過個資的對象。 ● 發生個資外洩情事後，應告知當事人。 ● 告知形式不拘，有記錄可供事後舉證即可 免告知情況 ● 法律明文規定／依法執行公務。 ● 告知將妨礙第三人重大利益。 ● 當事人明知這些應告知內容。 ● 當事人自行公開或其他合法公開內容。 ● 無法告知當事人或法定代理人。 ● 學術研究之必要，且無法識別之個資。 ● 大眾傳播業為公共利益而蒐集。 可蒐集或處理的條件 必要條件： ● 應有特定目的，且只能在該目的範圍內利用。 ● 不得蒐集醫療、基因、性生活與犯罪前科的個資。 多擇一條件： ● 法律明文規定。 ● 與當事人有契約關係，契約形式不限，可用電子契約。 ● 當事人自行公開或其他合法公開，企業需確認合法性。 ● 當事人書面同意。 ● 取自一般可得來源（如搜尋引擎）。 ● 公共利益相關。 ● 學術研究之必要，且無法識別之個資。 書面同意 ● 意指紙本同意書，不能透過電子文件或電子簽章取得同意。 不適用個資法狀況 ● 無法識別該個人的個資。 ● 個人為了個人或家庭活動的蒐集、處理或利用。 ● 公開場所或公開活動中的影片、圖像與聲音資料（未與其他個資結合）。 損害賠償 ● 當事人可向違反個資法的企業求償，每人每次5百元～2萬元，相同原因合計最高求償金額2億元。 罰則 ● 違法蒐集、處理或利用個資而產生損害時，處2年以下有期徒刑、拘役或併科20萬元以下罰金。 ● 違法蒐集、處理或利用個資，意圖營利者處5年以下有期徒刑、拘役或併科100萬元以下罰金。 行政罰鍰 ● 違反蒐集、處理與利用相關法規，限期未改善，每次可罰5～50萬元。 ● 違反告知義務、維護義務、個人請求相關法規，限期未改善，每次可罰2～20萬元。 ● 拒絕主管機關檢查者，每次可罰2～20萬元。 ● 企業代表人未盡力防止發生上述違反事項，處相同額度之罰款。 企業現有個資（顧客與員工）處理原則 ● 企業非直接向當事人蒐集的個人資料，必須在法案實施後一年內告知當事人，未告知前不能處理或利用。 ● 現有行銷資料庫可視為非首次行銷的個資，不用提供拒絕行銷的管道。

新版個資法大解密

立法院於4 月27 日三讀通過的《個人資料保護法》，此為立法院公報初稿，正確條文仍須以總統公布版本為準。另外法務部網站亦有提供新舊條文對照版。

Q1 個資法什麼時候實施？
立法院於4月27日三讀通過個資法後，法務部會先用6～8個月完成施行細則，再呈報給行政院審核，審核時間約1～2個月。法務部預估在總統公布後1年內，完成施行細則的作業流程，再由行政院決定正式實施時間。

Q2 個資法管轄哪些行為？
個資法管轄個人資料的蒐集、處理和利用行為。

Q3 個資法保護哪些個人資料？
新版個資法規範了企業必須保護的個人資料類型，包括了個人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動，以及其他可以直接或間接識別出個人的資料都屬於個資法的保護範圍。

Q4 是不是只有5千筆以上的個資才會適用個資法？
不是，只要有1筆個資就會受到個資法規範。5千筆限制只是法案討論過程中，參考日本個資法的說法，後來未採納。

Q5 個資法是不是不管紙本上的個人資料？
不是，不論是電腦中的數位資料，或者是寫在紙張上的個人資料，全都適用個資法。

Q6 網路暱稱或Email屬於個資法規範的個人資料嗎？
由於網路暱稱不易識別出其代表的個人，所以，不會受到個資法規範。至於Email則有可能識別出個人，法務部會請主管機關NCC提供認定標準。

Q7 如果個人資料中部分內容模糊，例如身分證號中有4個數字模糊，是否還會受到個資法規範？
這類部分模糊的個人資料，由於一般人無法輕易識別，等同失去識別力，因此，這類資料就不適用個資法。但若和其他個資搭配後具有識別力，仍舊需要受到個資法規範。

Q8 是不是只有企業才需要遵守個資法？
不是，不論是自然人（也就是一般人），法人（企業）或其他團體都需要遵守個資法的規範。

Q9 其他團體如何定義？
任何3個人以上所組成的團體，或者團體可以有一位代表人或主席，就是一個團體。不論哪一種團體都要遵守個資法。換句話說，你和三五好友組成一個球隊，球隊所蒐集的個人保險資料、通訊資料，都要遵守個資法的規範。

Q10 在國外蒐集個資是否要遵守個資法？
不論在國內外，只要對中華民國的國民蒐集、處理或利用個資，都適用個資法。

Q11 個資法保障了哪些個人的個資權利？
每一個人對於他的個人資料可以請求閱覽或查詢、請求提供複製本、請求更正或補充、請求停止蒐集、停止處理或利用，最後還可以請求刪除。

Q12 企業是否可以拒絕個人提出的個資處理請求？
只有在三種情況下，企業可拒絕個人的請求，包括妨害國家重大利益、妨害公務機關執行法定職務、妨害蒐集機關或第三人重大利益時等。

Q13 企業必須多快回應個人提出的個資處理請求？
對於個人要求查詢、瀏覽或複製的請求，企業必須在15天內決定是否同意，若要拒絕得書面說明理由，最多可再延長15天。若是請求補充或更正，則可在30天內答覆，最多再延長30天。

Q14 若個人要求企業刪除個人資料，但另有法律規定要求企業保存，企業該如何處理？
若有其他法律規定，就可以拒絕個人的刪除請求。個資法規定，企業可依其他法律的規定或法定義務來蒐集、處理和利用個資。

Q15 個資法的主管機關為何？
每個行業的目的事業主管機關就是個資法主管機關，或者說，企業向哪個機關登記註冊，該機關就是個資法主管機關。若牽涉到多個主管機關或者主管機關不清楚時，則透過公務機關的協調聯繫機制決定如何共同執行或由誰主管監督，若無法決定則交由行政院決定。

Q16 企業可以任意自定蒐集或處理資料的目的嗎？
不行，法務部將會和各事業目的主管機關訂定新的特定目的項目，企業必須從中選擇其中一項或多項作為資料蒐集目的，就像是現行《電腦處理個人資料保護法》所訂定的101項特定目的。企業蒐集個資時不能踰越所選定的特定目的範圍，才能算是合法蒐集。

Q17 若有當事人投訴企業侵犯個資時，企業是否需要舉證，證明自己確實遵守個資法的規範？
是的，在個資法中規定由企業負擔舉證的責任，若有當事人投訴企業侵犯個資，企業必須證明自己盡到保護個人資料的義務，才能免責。

Q18 當事人合法公開在網路上的資料是否可以蒐集？
凡是當事人合法公開，或者是其他合法管道公開的資料，企業就能蒐集利用，但是企業必須確認這些資料來源的合法性。

Q19 個資法要求企業直接對當事人蒐集個資前，要先告知當事人，企業可以透過哪些方式告知？
告知形式不拘，電話通知、簡訊、電子郵件、書面通知等都可以，最重要的是，企業得保留記錄，事後才可以舉證已經盡到告知義務，通知方式則沒有限制。

Q20 直接對當事人蒐集個資時，有哪些情況不用告知？
對當事人蒐集個資時，下列情況就免告知，包括依法規定免告知、執行法定職務或法定義務時、告知時將妨礙公務、妨礙第三人重大利益，或者是當事人明確知道這些應告知的內容。最後一項例如當事人提供個資給仲介業者時，當事人已經知道房仲業者會將這些資料拿來建檔，作為提供房屋資訊的聯繫之用，此時房仲業者就不用再告知。

Q21 如果企業不是直接向當事人蒐集個資，仍舊需要告知當事人嗎？
即便不是向當事人蒐集個人資料，企業仍然要告知當事人，只有部分情況下才免告知。

Q22 什麼情況下企業取得個資時，不用告知當事人？
不用告知的情況例如法律規定免告知、執行法定職務或法定義務、告知將妨害第三人重大利益、當事人明知應告知內容、當事人自行公開、來自其他合法公開的個資、不能向當事人或法定代理人告知、為了公共利益或學術研究而資料經過處理無法識別個人時、或者是大眾傳播業者為了公共利益的蒐集時，這些情況就免告知當事人。

Q23書面同意可以透過電子文件方式進行嗎？
不行，法條中的書面同意是指必須取得當事人的紙本同意書，透過電子文件或者是透過電子簽章取得的同意書，則不符合個資法的書面同意。

Q24 企業現有個人資料是否需要遵守個資法？
企業在個資法施行前蒐集的個人資料庫，若非由當事人提供，就必須在個資法實施後1年內告知當事人，讓對方知道企業擁有他的個人資料。告知後才能繼續利用他的個人資料。

Q25 企業對現有顧客行銷時，需要提供拒絕管道嗎？
由於企業現有的行銷資料庫已經不是首次行銷，所以，不用提供拒絕接受行銷的方式。

Q26 若發生個資損害時，當事人求償的時效多久？
當事人必須在事件發生5年內提出求償，或者當事人知道損害事件後，在2年內要提出，超過時間就不能再請求賠償。

Q27 發生個資損害時，賠償金額有多少？
若損害金額不易估算時，每人每一件可賠償500～20,000元，最高2億元賠償。涉及利益超過2億時，就按實際利益計算。

Q28 個資法會處罰企業老闆嗎？
企業違反個資法第46、47和48條的行政罰鍰時，如果老闆無法證明自己努力盡到防止義務，就會被處以相同額度的罰鍰。行政罰鍰從2萬～50萬元不等。

Q29 企業違反個資法時，老闆會被判刑嗎？
若企業違反個資法而導致顧客損失時，企業主必須面對最高2年以下的有期徒刑。若老闆為了營利而違反個資法時，刑期還會加重到最高5年以下有期徒刑。